DedeCMS V 5.3 任意变量覆盖漏洞
来源:asp之家 发布时间:2009-06-05 17:54:00
影响版本:
DedeCms V 5.3
程序介绍:
DedeCms 基于PHP+MySQL的技术开发,支持Windows、Linux、Unix等多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过二十万个站点正在使用DedeCms或居于DedeCms核心,是目前国内应用最广泛的php类CMS系统。
漏洞分析:
看核心文件include/common.inc.php中的代码
//检查和注册外部提交的变量
foreach($_REQUEST as $_k=>$_v)
{
if( strlen($_k)>0 && eregi('^(_|cfg_|GLOBALS)',$_k) && !isset($_COOKIE[$_k]) )//程序员逻辑混乱了?
{
exit('Request var not allow!');
}
}
这个地方可以通过提交_COOKIE变量绕过cfg_等关键字的过滤
接着是注册变量的代码
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}
然后初始化变量
//数据库配置文件
require_once(DEDEDATA.'/common.inc.php');
//系统配置参数
require_once(DEDEDATA."/config.cache.inc.php");
看似不能利用了,但是幸运的是在文件最后有这样一段代码
//转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数
if($_FILES)
{
require_once(DEDEINC.'/uploadsafe.inc.php');
}
再看uploadsafe.inc.php给我们提供了什么
$keyarr = array('name','type','tmp_name','size');
foreach($_FILES as $_key=>$_value)
{
foreach($keyarr as $k)
{
if(!isset($_FILES[$_key][$k]))
{
exit('Request Error!');
}
}
$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\","",$_FILES[$_key]['tmp_name']);
//注意这个地方,通过common.inc.php的漏洞,我们是可以控制$_FILES[$_key]['tmp_name'] 的
这里通过提交类似common.inc.php?_FILES[cfg_xxxx][tmp_name] =aaaaaa&……来覆盖cfg_xxxx
利用的时候注意给cookie赋值,同时要绕过uploadsafe.inc.php里面的一些判断
0
投稿猜你喜欢
- 在接下来的几个月内,我们将会在 AdWords 系统推出一些新的功能,为了实现这些功能,我们将会在发布商网络投放 Doubleclick 广
- Fearless有一个英站,但是目前根本没有精力和时间去维护,所以也一直搁置在那里,希望今年能有所作为。在这个英文站刚建完成的第一天,Goo
- 1. 自我合理的定位与特色要善于选择他人从未涉及过的话题,不必受制于“关键字搜索”,也不能一味迎合G
本文版权归学IT网(www.xueit.com)所有,任何单位与个人转载必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律- 根据中国互联网络信息中心(CNNIC)《2008年中国搜索引擎用户行为研究报告》的调查显示,截至2008年底,中国搜索引擎用户规模达到2.0
- 什么是断点续传?在网络状况不好的情况下,对于文件的传输,我们希望能够支持可以每次传部分数据。断点续传其实正如字面意思,就是在下载的断开点继续
- 北京时间10月23日,微软新一代操作系统WIN7正式发布,国内领先的网游厂商巨人网络率先宣布,其新作《绿色征途》全面兼容WIN7操作系统。今
- 你一定很喜欢像QQ或者MSN好友登录提示的效果吧,那么怎么样能在网页中实现呢?正好我在蓝色理想中发现了这段代码,贴出给大家看看(注意,如果使
- 很多人做网站在为自己的主机,VPS头疼,总觉得速度慢,但是速度快的又花费过大,但是怎么样才能让网站速度快,又经济呢。今天imshu分享一下在
- Godaddy主机用户可以使用一个基于网络的FTP客户端用Hosting Control Center上载、下载其网站上的文档。注意:尽管你
- 随着电脑和网络的普及,小朋友“触网”的年龄越来越早,上网的时间也越来越长。那么应该如何来对待儿童上网
- 众所周知,QQ和MSN已经成为中国各阶层网民普遍使用的IM工具,而且这个市场还在扩大之中。根据中国互联网络信息中心(CNNIC)在今年1月发
- 目录一、简介二、环境准备1.基础环境三、安装Mysql主从配置1.部署信息2.主节点配置文件3.创建mysql容器4.开启主从复制5、安装M
- 不管你把Alexa排名奉为神明,还是把它看得 * 无比,数年来,它的确左右着整个互联网行业的许多游戏规则。由于中国互联网的特殊环境,Alexa
- 一、最好的单元永远是336x280自己尝试过几乎所有的尺寸,发现还是这种尺寸的点击率最高,300x250的也不错。放置方式推荐:1、被正文环
- Discuz与UCenter同步删除用户的问题,一直得不到解决。由于论坛采用的是注册审核制,每天都要删除大量的恶意注册用户,不能在UCent
- –link可以通过容器名互相通信,容器间共享环境变量。–link主要用来解决两个容器通过ip地址连接
- 一、什么是网站策划?网站策划直接决定网站能否成功。如果在网站建设之前没有经过整体策划,一般这样的网站很难达到预期的目标。网站策划是网站建设公
- 在使用wordpress博客程序上传RAR格式的压缩文件时,通常会提示错误:文件类型不符合安全规则。wordpress默认是不支
- linux alarm函数简介上代码:#include <stdio.h>#include <unistd.h>#i
